Miesiąc: grudzień 2025

Dyrektywa NIS2 w branży morskiej

Posted on by Informatyk A. Przybysz

Dyrektywa NIS2 (Network and Information Security 2) to nowy akt prawny, który zastępuje wcześniejszą dyrektywę NIS1 z 2016 roku. Dyrektywa weszła w życie 16 stycznia 2023 r., a państwa członkowskie miały obowiązek wdrożyć ją do swojego prawa krajowego do 17 października 2024 r. Polska, podobnie jak Francja, Hiszpania, Holandia, Luksemburg, Bułgaria, do tej pory nie zakończyła prac. Aktualnie jednak krajowy proces legislacyjny jest na zaawansowanym poziomie. 

Cel dyrektywy 

Głównym zadaniem dyrektywy jest wzmocnienie ochrony przed zagrożeniami cyfrowymi w całej Unii Europejskiej. Wprowadza ona jednolite zasady cyberbezpieczeństwa w sektorach ważnych dla gospodarki i społeczeństwa, m.in. energetyki, transportu, zdrowia, infrastruktury cyfrowej, bankowości czy gospodarki morskiej. Regulacja nakłada na państwa członkowskie obowiązek przygotowania krajowych strategii cyberbezpieczeństwa, wzmacnia współpracę między krajami przy reagowaniu na poważne incydenty i daje organom nadzoru silniejsze narzędzia do kontroli i egzekwowania przepisów.  

Jak wygląda wdrożenie Dyrektywy NIS2 w Polsce?  

Implementacja dyrektywy NIS2 odbywa się u nas poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Dotychczasowe prace legislacyjne obejmowały dwa projekty ustawy. Jednak dopiero drugi złagodził najbardziej krytykowane rozwiązania, w tym m.in.: 

  • obowiązkowe stosowanie norm ISO, z którego zrezygnowano,
  • terminy na przeprowadzenie pierwszego audytu, które wydłużono,
  • wymogi dotyczące łańcucha dostaw do bezpośrednich dostawców.

Przyjęty przez rząd projekt noweli: 

  • rozszerza katalog podmiotów objętych obowiązkami,
  • wprowadza nowe zespoły reagowania na incydenty (CSIRT sektorowe),
  • wzmacnia uprawnienia organów nadzoru, takich jak minister cyfryzacji czy CSIRT GOV.  

Podmioty objęte nowymi regulacjami będą musiały m.in. przeprowadzać analizy ryzyka, wdrażać środki bezpieczeństwa, szkolić pracowników i zgłaszać incydenty. Przewiduje się, że nowe przepisy wejdą w życie prawdopodobnie w połowie 2026 roku.  

Branża morska – kto jest objęty? 

Co ważne dla przedsiębiorców, regulacje NIS2 wprowadzają zróżnicowany model nadzoru. W jego ramach część organizacji będzie objęta szczególnie intensywnymi obowiązkami kontrolnymi. Dotyczy to tzw. podmiotów kluczowych, dla których ustawodawca przewidział dalej idący nadzór niż w przypadku pozostałych uczestników systemu. Jednak sektor transportu, w tym też morski, jest traktowany jako podmiot kluczowy ze względu na jego znaczącą rolę dla gospodarki i społeczeństwa. W praktyce regulacje NIS2 w pierwszej kolejności oddziałują na podmioty o większej skali działalności, które zapewniają ciągłość procesów transportowych i logistycznych. Są to głównie organizacje, które zatrudniają co najmniej kilkadziesiąt osób oraz osiągają istotne przychody roczne. 

W branży morskiej dotyczy to przede wszystkim: 

  • armatorów transportu morskiego, śródlądowego i przybrzeżnego (pasażerskiego i towarowego),
  • organów zarządzających portami,
  • jednostek, które wykonują prace i operują sprzętem w portach,
  • operatorów systemów ruchu statków.

Takie podmioty będą musiały wdrożyć pełne wymagania NIS2. Trzeba też podkreślić kryterium wielkości, choć nie zawsze ma ono charakter rozstrzygający. W określonych przypadkach o objęciu regulacją decyduje znaczenie danej działalności dla funkcjonowania państwa lub zapewnienia ciągłości usług.  

Takie podejście zapewnia, że ochrona obejmuje całą krytyczną infrastrukturę morską, wrażliwą na cyberataki, które mogą sparaliżować handel i logistykę. 

Obowiązki dla podmiotów morskich i znaczenie NIS2 

Podmioty z branży morskiej będą musiały: 

  • regularnie oceniać ryzyka cybernetyczne dla systemów IT i OT (technologii operacyjnej, np. systemów sterowania w portach),
  • wdrażać procedury reagowania na incydenty i zgłaszać poważne naruszenia,
  • szkolić personel w zakresie zagrożeń cyfrowych,
  • zapewnić bezpieczeństwo łańcucha dostaw (choć w polskim projekcie ograniczono to do bezpośrednich dostawców),
  • współpracować z innymi podmiotami i organami w wymianie informacji o zagrożeniach.

Nowością jest wyraźne podkreślenie odpowiedzialności kadry kierowniczej za nadzór nad realizacją obowiązków z zakresu cyberbezpieczeństwa. Oznacza to, że kwestie te przestają być wyłącznie problemem działów IT, a stają się elementem odpowiedzialności zarządczej. 

Wdrożenie NIS2 jest na pewno wyzwaniem, jeśli chodzi o koszty, bo wiąże się z inwestycjami w technologie, audyty i szkolenia. Daje jednak liczne korzyści i wzmocnienie odporności na incydenty, które w dłuższej perspektywie będzie minimalizować straty finansowe i ryzyko utraty ważnych danych. Wzmacnia też współpracę międzynarodową i ulepsza wymianę informacji o zagrożeniach. 

Również z perspektywy wizerunkowej regulacje mogą wpływać na konkurencyjność i szanse rozwoju. Firmy, które spełniają wysokie standardy cyberbezpieczeństwa zyskują zaufanie partnerów globalnych, a modernizacja systemów IT/OT może przynieść efektywność operacyjną (np. w offshore wind czy logistyce). 

Znaczenie ISPS Code 

Międzynarodowy Kodeks ISPS powstał jako odpowiedź na globalne zagrożenia bezpieczeństwa, które ujawniły się na początku XXI wieku i doprowadził do wzmocnienia ochrony infrastruktury portowej i żeglugowej. Regulacje ISPS koncentrują się przede wszystkim na systemowym podejściu do ochrony portów i statków, obejmując zarówno analizę zagrożeń, jak i organizację procedur ochronnych oraz przygotowanie personelu do reagowania na incydenty. Dyrektywa NIS2 rozszerza to podejście o obszar cyberbezpieczeństwa, kładąc nacisk na odporność systemów informacyjnych i technologicznych na coraz bardziej zaawansowane zagrożenia cyfrowe.  

Zintegrowanie wymagań NIS2 z istniejącymi mechanizmami ISPS pozwala portom i operatorom morskim budować spójny system zarządzania bezpieczeństwem, w którym ryzyka fizyczne i cyfrowe są analizowane łącznie, a reakcja na incydenty jest skoordynowana.  

Dla polskich portów to okazja do modernizacji systemów ochrony. Połączenie nowych procedur z dyrektywy z już istniejącymi planami bezpieczeństwa opartymi na ISPS Code pomoże uniknąć powtarzania tych samych działań i stworzyć jeden, spójny system zarządzania ryzykiem – zarówno cyfrowym, jak i fizycznym. 

Aktualny stan w sektorze morskim 

Według stanu na grudzień 2025 r. polskie prawo krajowe implementujące NIS2 nie weszło jeszcze w życie, a prace legislacyjne są w końcowej fazie. Oznacza to, że podmioty z branży morskiej nie mają jeszcze formalnych obowiązków wynikających z nowej ustawy. 

Jednak wielu operatorów portów i armatorów już dobrowolnie przygotowuje się do ich wdrożenia, w tym modernizuje infrastrukturę IT, integruje procedury NIS2 z istniejącymi planami bezpieczeństwa ISPS i inwestuje w szkolenia. 

Branża morska stoi przed ważnymi zmianami, ale pełne obowiązki zaczną obowiązywać dopiero po uchwaleniu i wejściu w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa – najprawdopodobniej w pierwszej połowie 2026 r. 

Dyrektywa NIS2 to ważny krok w kierunku wzmocnienia cyberbezpieczeństwa w Unii Europejskiej. Dla portów morskich i podmiotów sektora morskiego oznacza nie tylko nowe obowiązki regulacyjne, ale przede wszystkim szansę na zwiększenie odporności operacyjnej i konkurencyjności.

Prawo offshore wind – zarys zmian legislacyjnych na koniec 2025

Posted on by Informatyk A. Przybysz

Morska energetyka wiatrowa w Polsce nieprzerwanie zyskuje na znaczeniu. Już niedługo również w krajowym miksie energetycznym. Ostatnia nowelizacja ustawy o promowaniu wytwarzania energii elektrycznej w morskich farmach wiatrowych weszła w życie (w większej części) pod koniec listopada 2025 r. Wprowadza szereg rozwiązań istotnych zarówno dla inwestorów, jak i wykonawców.

Jakie zmiany wprowadzono? Co oznaczają w praktyce? Z jakich narzędzi warto skorzystać, by maksymalnie wykorzystać potencjał polskiego offshore wind?

Aukcja offshore wind

Na 17 grudnia 2025 r. planowana jest aukcja dla morskich farm wiatrowych.

Prekwalifikacja do aukcji wymaga złożenia kompletnej dokumentacji, w tym map, harmonogramów, oryginałów lub poświadczonych kopii umów przyłączeniowych. W przypadku niekompletności ustawa wprowadza warunkową prekwalifikację pozwalającą na uzyskanie wstępnego zaświadczenia o dopuszczeniu do aukcji w przypadku trwających postępowań administracyjnych (np. w sprawie decyzji środowiskowej). Termin ważności tego zaświadczenia wynosi 12 miesięcy.

Z przepisów usunięto też wymóg wcześniejszej weryfikacji liczby wydanych zaświadczeń przed aukcją. W rezultacie umożliwia to rozpatrywanie wniosków tuż przed aukcją, co ma zwiększyć jej konkurencyjność.

Oferty można składać tylko na jedną farmę w danym obszarze. Ustawa dokładnie wskazuje limity mocy zainstalowanej, możliwość etapowania oraz proporcjonalnego rozdziału przyznanego wsparcia.

Wprowadzono też mechanizm wykorzystania mocy z I fazy do aukcji II fazy, przy czym limit mocy dla tych projektów wynosi 200 MW. Określono szczegóły dotyczące zmiany warunków przyłączenia dla tych projektów.

Ustawa przewiduje wreszcie aukcję interwencyjną na 2026 r. w przypadku niepowodzenia aukcji 17.12.2025 r. (np. z powodu braku minimum trzech skutecznych ofert).

Zasada „jednego wsparcia”

Wytwórca, który uzyskał prawo do pokrycia ujemnego salda dla danej morskiej farmy wiatrowej, nie może ponownie ubiegać się o takie wsparcie dla tej samej farmy lub jej części w kolejnym systemie aukcyjnym. To wyklucza podwójne subsydiowanie i zapewnia transparentność wydatkowania publicznych środków.

Nowa definicja współdzielonej infrastruktury

Wprowadzono możliwość korzystania ze wspólnych stacji elektroenergetycznych przez więcej niż jedną morską farmę wiatrową. Przepisy precyzują, że odcinki sieci mogą przebiegać przez obszar innych farm, jeśli współdzielą tę samą stację. W praktyce pozwoli to na optymalizację kosztów oraz usprawnienie procesu realizacji przyłączy. Co ważne, ogranicza się zastosowanie w tej sytuacji regulacji z ustawy Prawo energetyczne, co powoduje istotne uproszczenie wymaganych formalności.

Gwarancje bankowe/ubezpieczeniowe – forma, zakres i wymogi

Zmieniono brzmienie przepisu dotyczącego zabezpieczenia gwarancji – obecnie dokument musi wskazywać, że wyłącznym beneficjentem jest Prezes URE, zawierać precyzyjne dane farmy oraz gwaranta, a wypłata sumy gwarancyjnej następuje niezwłocznie po zgłoszeniu żądania. Wcześniejsze przepisy nie precyzowały dość jednoznacznie ani beneficjenta gwarancji, ani trybu oraz danych dokumentu zabezpieczającego. W praktyce mogło to utrudniać szybkie egzekwowanie zabezpieczenia, wydłużać procesy rozstrzygania roszczeń URE.

Ujemne saldo – okres i nowe zasady

Pojawił się pewien ukłon ustawodawcy w stronę praktycznych potrzeb deweloperów offshore wind – znowelizowane przepisy pozwalają zarabiać na energii przed formalnym uruchomieniem pełnej komercji, nie uszczuplając przewidzianego wsparcia. Po zmianach prawo do pokrycia ujemnego salda przysługuje przez 25 lat, a wniosek o pokrycie salda dotyczy całej energii wprowadzonej do sieci, aż do osiągnięcia zadeklarowanej ilości. Nowością jest art. 6a – daje inwestorom prawo do sprzedaży energii przez 12 miesięcy od uzyskania tymczasowego pozwolenia (ION) przed koncesją. Energia ta nie wlicza się do salda wsparcia, ale może być rozliczana na rynku bilansującym. Przy etapowaniu inwestycji, rozliczenie energii wymaga precyzyjnych pomiarów, które umożliwiają odróżnienie poszczególnych etapów projektu.

Wspólne korzystanie ze stacji – podział pomocy i obowiązków 

Jeśli pomoc inwestycyjna dotyczy wspólnego obiektu (np. stacji, kabli), wartość wsparcia rozlicza się proporcjonalnie według ilości energii, a wszyscy współuczestnicy muszą złożyć właściwe oświadczenia, mające znaczenie podatkowo-prawne i stanowiące zabezpieczenie dla regulatora oraz Komisji Europejskiej, że nie dochodzi do podwójnego finansowania.

Co więcej, analiza kosztów i kalkulacja ceny skorygowanej musi być proporcjonalna do rzeczywistego wykorzystania inwestycji przez każdą farmę. Zmiana ma na celu ułatwienie współpracy operatorów farm i zwiększenie efektywności wykorzystania kosztownej infrastruktury energetycznej.

Waloryzacja cen i harmonogramy

Nowe przepisy przewidują mechanizm waloryzacji cen w przypadku określonych zdarzeń rynkowych (np. inflacji powyżej średniookresowego celu). Opóźnienia w realizacji inwestycji nie podlegają waloryzacji ceny, co mobilizuje do realizacji projektów w terminie. W przypadku „siły wyższej” (np. duża awaria, epidemia) udokumentowane przedłużenia harmonogramów są możliwe, ale ograniczone do czasu rzeczywistego trwania przeszkody.

Wprowadzony tunel waloryzacyjny (indeksacji wsparcia) ma na celu przede wszystkim stabilizację kosztów dla odbiorców. Deweloperzy sygnalizują jednak w tym obszarze już teraz zbyt duże ryzyko po swojej stronie.

Układy pomiarowo-rozliczeniowe i zasady zdalnego odczytu

Współdzielenie infrastruktury wymaga szczegółowych układów pomiarowych dla każdej farmy, z możliwością zdalnego odczytu i komunikacji w czasie rzeczywistym z operatorem. Pomiar energii musi być prowadzony na wejściu odcinka oraz na generatorach każdej turbiny. Przepisy te mają istotne znaczenie dla transparentności rozliczeń między farmami, szczególnie z perspektywy PSE. Istotą regulacji jest zapewnienie pełnej transparentności rozliczeń i dostępu do danych przez operatorów systemu przesyłowego i URE. Przepis ten daje też podstawy do rozwoju bezpieczeństwa systemu.

Operator systemu przesyłowego – nowe uprawnienia

Operator ma prawo wypowiedzieć umowę o przyłączenie ze skutkiem natychmiastowym, jeśli inwestor zrezygnuje z udziału w aukcji lub jej nie wygra, chyba że wcześniej uzyskał prawo do pokrycia ujemnego salda. To rozwiązanie chroni system przesyłowy przed blokowaniem mocy przez nieaktywnych deweloperów. Celem podstawowym regulacji jest uniknięcie rezerwacji mocy przyłączeniowych “na zapas”.

Taka strategia była wysoce szkodliwa i mogła stać się barierą dla poważnych inwestorów, którzy faktycznie byli gotowi realizować projekty. Nowy przepis eliminuje „blokowanie” mocy: jeżeli inwestor nie zamierza kontynuować projektu lub nie uzyska wsparcia na aukcji, operator może natychmiast uwolnić moce przyłączeniowe, oddając je do dyspozycji innych podmiotów.

Mapy lokalizacyjne i mikroprzesunięcia turbin

Ustawa doprecyzowuje mechanizm „mikroprzesunięć” turbin (do 50 m). Takie przesunięcie nie stanowi istotnego odstąpienia od projektu zagospodarowania terenu ani nie wymaga nowego pozwolenia, pod warunkiem braku kolizji z infrastrukturą bądź obiektami o znaczeniu prawnym czy środowiskowym.

Oświadczenia inwestorów – odpowiedzialność karna

Przy składaniu dokumentów wymagane jest oświadczenie pod rygorem odpowiedzialności karnej za fałszywe oświadczenie potwierdzające, że przedsiębiorstwo nie znajduje się w trudnej sytuacji ekonomicznej i nie ciąży na nim obowiązek zwrotu pomocy publicznej. Jest to spełnienie wymogu wynikającego z zasad udzielania pomocy publicznej w UE i realne narzędzie do minimalizacji nadużyć oraz ochrony interesu publicznego. W skrócie ma dążyć do uniknięcia sytuacji, w której wsparcie otrzymuje podmiot, który nie będzie miał możliwości wywiązania się ze swoich zobowiązań.

Podsumowanie

Podsumowując zmiany, można stwierdzić, że ustawodawca wyraźnie postawił na większą transparentność, sprawność operacyjną i bezpieczeństwo systemu wsparcia morskiej energetyki wiatrowej. Nowe regulacje ułatwiają współdzielenie infrastruktury, rozkładają realnie pomoc publiczną pomiędzy operatorów, wprowadzają jasne mechanizmy kontroli (zarówno ekonomicznej, jak i technicznej), zwiększają elastyczność na etapie realizacji inwestycji oraz ograniczają miejsca do nadużyć i formalnego blokowania rozwoju. Przepisy mają na celu nie tylko usprawnienie wdrażania nowych projektów, ale również zapewnienie, że wsparcie trafi wyłącznie do podmiotów rzetelnych i operacyjnie przygotowanych, implementując w tym zakresie przepisy unijne (Dyrektywa RED III, NZIA). Branża offshore wind zyskuje więc czytelne zasady gry na wielu płaszczyznach, a w polskiej energetyce poszerzają się – na jasnych warunkach – realne perspektywy rozwoju.